Alt-Svc HTTP 헤더를 사용하여 내부 네트워크 포트를 검색할 수 있습니다.

보스턴대학교 연구진 개발했다 공격 방법
(CVE-2019-11728), 허용 IP 주소를 스캔하고 사용자의 내부 네트워크, 방화벽으로 외부 네트워크로부터 차단된 네트워크 포트 또는 현재 시스템(localhost)에서 네트워크 포트를 엽니다. 브라우저에서 특별히 설계된 페이지를 열면 공격이 수행될 수 있습니다. 제안하는 기법은 HTTP 헤더를 기반으로 한다. Alt-Svc (HTTP 대체 서비스, RFC-7838). 이 문제는 Firefox, Chrome 및 Tor Browser 및 Brave를 포함한 엔진 기반 브라우저에서 발생합니다.

Alt-Svc 헤더를 사용하면 서버는 사이트에 액세스하는 대체 방법을 결정하고 로드 밸런싱 등을 위해 요청을 새 호스트로 리디렉션하도록 브라우저에 지시할 수 있습니다. 전달을 위해 네트워크 포트를 지정할 수도 있습니다. 예를 들어 'Alt-Svc: http/1.1="other.example.com:443";ma=200'을 지정하면 클라이언트가 other.example 호스트에 연결하도록 지시합니다. .org를 사용하여 네트워크 포트 443 및 HTTP/1.1 프로토콜을 사용하여 요청된 페이지를 수신합니다. "ma" 매개변수는 최대 리디렉션 기간을 지정합니다. HTTP/1.1 외에도 HTTP/2-over-TLS(h2), HTTP/2-over plain text(h2c), UDP를 사용하는 SPDY(spdy), QUIC(quic) 등이 프로토콜로 지원됩니다.

주소를 스캔하기 위해 공격자 사이트는 반복되는 요청 사이의 지연을 신호로 이용하여 내부 네트워크 주소와 관심 있는 네트워크 포트를 순차적으로 검색할 수 있습니다.
리디렉션된 리소스를 사용할 수 없는 경우 브라우저는 즉시 응답으로 RST 패킷을 수신하고 즉시 대체 서비스를 사용할 수 없는 것으로 표시하고 요청에 지정된 리디렉션 수명을 재설정합니다.
네트워크 포트가 열려 있으면 연결을 완료하는 데 시간이 더 걸리고(해당 패킷 교환으로 연결을 설정하려고 시도함) 브라우저가 즉시 응답하지 않습니다.

확인에 대한 정보를 얻기 위해 공격자는 Alt-Svc 헤더에서 공격자의 실행 호스트를 참조하는 두 번째 페이지로 사용자를 즉시 ​​리디렉션할 수 있습니다. 클라이언트의 브라우저가 이 페이지에 요청을 보내는 경우 첫 번째 Alt-Svc 요청 리디렉션이 재설정되었으며 테스트 중인 호스트와 포트를 사용할 수 없다고 가정할 수 있습니다. 요청이 수신되지 않으면 첫 번째 리디렉션에 대한 데이터가 아직 만료되지 않았으며 연결이 설정된 것입니다.

이 방법을 사용하면 메일 서버 포트와 같이 브라우저에서 블랙리스트에 추가한 네트워크 포트를 확인할 수도 있습니다. 피해자 트래픽의 iframe 대체와 Firefox용 Alt-Svc 및 Chrome의 UDP 포트 스캔을 위한 QUIC의 HTTP/2 프로토콜을 사용하여 실제 공격이 준비되었습니다. Tor 브라우저에서는 내부 네트워크 및 로컬 호스트의 컨텍스트에서 공격을 사용할 수 없지만 Tor 출구 노드를 통해 외부 호스트에 대한 은밀한 스캐닝을 구성하는 데 적합합니다. 이미 포트 스캐닝에 문제가 있습니다 제거 파이어폭스 68에서.

Alt-Svc 헤더를 사용할 수도 있습니다.

• DDoS 공격을 조직할 때. 예를 들어 TLS의 경우 초기 클라이언트 요청에 60바이트가 걸리고 인증서에 대한 응답은 약 500KB이므로 리디렉션은 30배의 이득 수준을 제공할 수 있습니다. 여러 클라이언트 시스템의 루프에서 유사한 요청을 생성하면 서버에서 사용할 수 있는 네트워크 리소스가 고갈될 수 있습니다.
  

• 세이프 브라우징과 같은 서비스에서 제공하는 피싱 방지 및 맬웨어 방지 메커니즘을 우회하기 위해(악성 호스트로 리디렉션해도 경고가 발생하지 않음)
• 사용자 움직임 추적을 구성합니다. 이 방법의 핵심은 Alt-Svc에서 추적 방지 도구의 포함 여부에 관계없이 호출되는 외부 움직임 추적 핸들러를 참조하는 iframe을 대체하는 것입니다. 전송 트래픽에 대한 후속 분석과 함께 Alt-Svc(식별자로 임의 IP:포트)의 고유 식별자를 사용하여 공급자 수준에서 추적하는 것도 가능합니다.
  
  

• 이동 이력 정보를 검색합니다. Alt-Svc를 사용하는 특정 사이트의 이미지를 요청과 함께 iframe 페이지에 삽입하고 트래픽의 Alt-Svc 상태를 분석함으로써 전송 트래픽을 분석할 수 있는 공격자는 사용자가 이전에 지정된 사이트를 방문한 적이 있다고 결론을 내릴 수 있습니다. 대지;
• 침입 탐지 시스템의 시끄러운 로그. Alt-Svc를 통해 사용자를 대신하여 악성 시스템에 요청 물결을 일으키고 허위 공격으로 위장하여 일반 볼륨에서 실제 공격에 대한 정보를 숨길 수 있습니다.

출처 : opennet.ru